在安全問題上，絕不存在任何完美的網(wǎng)絡(luò)和應(yīng)用。檢測網(wǎng)絡(luò)防御中的重要漏洞未必是一個昂貴復(fù)雜的任務(wù)。如果企業(yè)愿意，當(dāng)然可以花大把的錢去構(gòu)建一個強(qiáng)健的、實(shí)時的網(wǎng)絡(luò)漏洞管理機(jī)制，但這并非上策。根據(jù)公司需要保護(hù)的資產(chǎn)類型及資產(chǎn)的所在位置，甲公司的網(wǎng)絡(luò)漏洞管理可能與乙公司的網(wǎng)絡(luò)漏洞管理看似迥然不同。任何時候都不存在什么模板或最佳方法可以保護(hù)公司免受每種漏洞的威脅。但只要企業(yè)認(rèn)真計劃，就完全可以將漏洞管理轉(zhuǎn)變成一個有益于確認(rèn)并解決潛在安全漏洞的過程。本文將探討如何構(gòu)建有效的網(wǎng)絡(luò)漏洞評估和漏洞管理的工具和最佳方法。

無疑，無論是應(yīng)用軟件還是操作系統(tǒng)都存在缺陷，換言之，沒有哪個應(yīng)用程序或操作系統(tǒng)不存在任何漏洞或不會遭受攻擊。只要有足夠的耐心、技能及專業(yè)技術(shù)，每一種軟件都可被利用漏洞、被破壞、被禁用或被用于惡意目的。要讓開發(fā)者預(yù)測黑客攻擊應(yīng)用程序的每一種方法是不可能的，所以網(wǎng)絡(luò)團(tuán)隊(duì)需要對付針對關(guān)鍵應(yīng)用的各種不可預(yù)料的攻擊。

針對關(guān)鍵應(yīng)用或其所在服務(wù)器的大多數(shù)攻擊，其渠道基本上都來自IP網(wǎng)絡(luò)。所以，部署一個強(qiáng)健的漏洞評估和管理方案有助于減少應(yīng)用程序中的漏洞。當(dāng)然，這并非易事。許多企業(yè)的IT開發(fā)者和安全專家往往沒有密切協(xié)作，所以無法解決應(yīng)用程序和網(wǎng)絡(luò)的漏洞問題。在應(yīng)用程序和安全團(tuán)隊(duì)之間建立密切聯(lián)系至關(guān)重要，這是因?yàn)閷?yīng)用程序的變更可能會帶來安全專家應(yīng)當(dāng)了解的新漏洞，而對網(wǎng)絡(luò)的變更也有可能招致針對應(yīng)用程序的新攻擊手段?？傊?，絕不應(yīng)當(dāng)把網(wǎng)絡(luò)漏洞管理看成是一次性的或定期的體檢，而應(yīng)當(dāng)把它作為一個持續(xù)的標(biāo)準(zhǔn)IT過程。

減少關(guān)鍵應(yīng)用遭受攻擊的最佳方法，或減少被攻擊者用無法預(yù)測的方式利用漏洞的最佳方法是，經(jīng)常檢查黑客用來攻擊關(guān)鍵系統(tǒng)的各種網(wǎng)絡(luò)漏洞。

如果你正準(zhǔn)備從頭開始構(gòu)建一種漏洞管理方法，最佳的起點(diǎn)是執(zhí)行發(fā)現(xiàn)和審計。如果你不了解企業(yè)在哪里會發(fā)生信息泄露以及發(fā)生信息泄露的原因，就無法真正規(guī)劃一套持續(xù)的網(wǎng)絡(luò)漏洞掃描的長期策略和過程。漏洞管理并不僅僅是部署微軟確定的嚴(yán)重等級的Windows補(bǔ)丁。網(wǎng)絡(luò)漏洞管理的真正含義是，發(fā)現(xiàn)每一臺主機(jī)有可能遭受的攻擊手段，并用一種使攻擊者更困難的方法來應(yīng)對攻擊。

例如，如果企業(yè)的環(huán)境主要運(yùn)行Windows，不妨登錄到任意一臺Web服務(wù)器或應(yīng)用服務(wù)器，并在命令提示符下運(yùn)行“netstat -a”來查看服務(wù)器正在監(jiān)聽的所有TCP/UDP端口。在網(wǎng)絡(luò)環(huán)境中，在對一臺隨機(jī)選擇的服務(wù)器的測試過程中，如果發(fā)現(xiàn)試驗(yàn)的結(jié)果中存在紅色標(biāo)記，則表明在將服務(wù)器投入到生產(chǎn)環(huán)境之前需要解決這些問題。

當(dāng)然，在一個大型的環(huán)境中，先登錄到每一臺服務(wù)器，然后再使用netstat命令決定特定主機(jī)的暴露端口和服務(wù)，這是不現(xiàn)實(shí)的。審計者及攻擊者更愿意利用漏洞掃描器或Nmap之類的工具來快速掃描整個子網(wǎng)的端口，查找暴露了重要端口的主機(jī)。例如，在網(wǎng)絡(luò)掃描中，RDP成為一種主要的紅色標(biāo)記，因?yàn)槿绻粽甙l(fā)現(xiàn)了一套可用的登錄憑證，就很容易規(guī)劃出網(wǎng)絡(luò)的剩余部分，并留下后門，為以后的大型攻擊做好準(zhǔn)備。

在作者的試驗(yàn)過程中，發(fā)現(xiàn)有幾臺新設(shè)備都啟用了默認(rèn)的只讀字串。在檢查幾臺新路由器的SNMP時，可以輕易地發(fā)現(xiàn)正在運(yùn)行的路由器類型，以及正在運(yùn)行的代碼版本。攻擊者只要有了這些信息，花點(diǎn)時間就足以制定出攻擊進(jìn)入路由器或交換基礎(chǔ)架構(gòu)的策略。在掃描子網(wǎng)中的其它主機(jī)時，作者還發(fā)現(xiàn)一臺在80號端口監(jiān)聽的APC的UPS(不間斷電源)。通過谷歌搜索得知，這種UPS的默認(rèn)用戶名和口令都是“APC”。因而，筆者就能夠輕松地訪問UPS并且可以通過網(wǎng)絡(luò)關(guān)閉它。有些管理員可能認(rèn)為以默認(rèn)用戶名和口令運(yùn)行的UPS不是漏洞，其實(shí)不然。

不管企業(yè)規(guī)模如何，加速漏洞發(fā)現(xiàn)過程的最佳方法是聘請外部的審計人員。在發(fā)現(xiàn)漏洞的過程中不應(yīng)當(dāng)指責(zé)誰，更不應(yīng)該把現(xiàn)在的管理團(tuán)隊(duì)說得一無是處。畢竟，每個管理員都會犯錯誤，而且在某種程度上每個環(huán)境都有可能遭受攻擊。許多企業(yè)被迫匆忙地部署了某種服務(wù)，結(jié)果使安全成了次要問題。在企業(yè)迫于無奈而部署服務(wù)時，IT往往會為沒有使用最佳方法而內(nèi)疚。但是，在轉(zhuǎn)向了下一個任務(wù)或項(xiàng)目后，你遺留的漏洞便有可能長期存在。為了減少漏洞，系統(tǒng)管理員應(yīng)當(dāng)有條不紊地部署新服務(wù)。

為了安全地部署服務(wù)，安全團(tuán)隊(duì)在發(fā)現(xiàn)和審計過程(包括滲透測試在內(nèi))中有可能請求管理人員給予更多資源。對系統(tǒng)管理員來說，這個過程可以作為教育IT人員關(guān)閉各種攻擊媒介和手段的方法，或是可以部署新服務(wù)以便于使安全漏洞最少化的一種途徑。

企業(yè)現(xiàn)有的發(fā)現(xiàn)漏洞的努力一定會揭示一些漏洞，并可能發(fā)現(xiàn)目前的策略造成安全漏洞的途徑和方式。這當(dāng)然是好事，因?yàn)榻⒁惶组L久高效的漏洞管理過程的最佳方法之一就是，評估現(xiàn)有的IT過程如何造成差強(qiáng)人意的漏洞管理狀態(tài)。

下面列示的是一些用于建立強(qiáng)健的安全過程的最佳方法。

1、對于新服務(wù)器和桌面的部署，強(qiáng)化一個以安全為中心的過程

企業(yè)的主機(jī)在IP網(wǎng)絡(luò)上將會遭受攻擊，所以應(yīng)當(dāng)確保所有的服務(wù)器(新的和已有的)都應(yīng)用一套標(biāo)準(zhǔn)安全模板(能夠排除不必要的服務(wù)和端口，否則這些端口和服務(wù)有可能被用作攻擊通道)。這應(yīng)當(dāng)成為一個漏洞管理項(xiàng)目的核心IT過程。

部署一臺新服務(wù)器或桌面PC也許很簡單，但保障新桌面和服務(wù)器的安全確保漏洞數(shù)量最小化就不那么簡單了。采用一種面向過程的方法來部署新系統(tǒng)至關(guān)重要，因?yàn)樽罱K你的主機(jī)將成為遭受攻擊的靶子，而這種攻擊是通過網(wǎng)絡(luò)發(fā)生的。

以安全為中心的過程要求企業(yè)花時間確認(rèn)用來強(qiáng)化操作系統(tǒng)(Web、應(yīng)用程序、數(shù)據(jù)庫等的運(yùn)行與其密切相關(guān))的方法。這包括清除所有供應(yīng)商所提供的軟件后門、不重要的和不必要的服務(wù)，并關(guān)閉任何可以導(dǎo)致服務(wù)器打開一個UDP/TCP端口的不必要的應(yīng)用，還要求你部署適當(dāng)?shù)亩它c(diǎn)保護(hù)，用來跟蹤配置上發(fā)生的變化，并阻止繞過外圍防御的攻擊。

如果你已經(jīng)從安全的角度確認(rèn)了標(biāo)準(zhǔn)桌面和服務(wù)器應(yīng)當(dāng)具備的特征，下一個重要問題是驗(yàn)證參數(shù)，并在一個模板中捕獲這些參數(shù)以有利于未來的部署。企業(yè)還要有一個過程，確保在將一臺服務(wù)器投入到生產(chǎn)環(huán)境之前，就應(yīng)用標(biāo)準(zhǔn)的安全模板。作為一個標(biāo)準(zhǔn)的軟件開發(fā)生命周期的一部分，新代碼要經(jīng)過一個質(zhì)量保證過程。同樣，所有新部署的服務(wù)器都應(yīng)當(dāng)在投入到生產(chǎn)環(huán)境之前，由其它的監(jiān)視機(jī)制來保證其質(zhì)量。通過強(qiáng)化關(guān)鍵應(yīng)用軟件賴以運(yùn)行的桌面和服務(wù)器，安全團(tuán)隊(duì)不需編寫一行代碼就可以改善應(yīng)用程序的安全性。

2、每天監(jiān)視與日志和事件相關(guān)的數(shù)據(jù)

大型企業(yè)花很多錢用于日志管理、安全信息和事件的管理，但往往缺乏一個強(qiáng)有力的過程，無法將這些信息用作漏洞管理項(xiàng)目的一部分。在攻擊者開始利用一個已知或未知的漏洞時，總會留下線索，但如果你不查找就永遠(yuǎn)看不到這些線索，而且也無法依靠自動化和警告規(guī)則去通知需要響應(yīng)的每個安全事件。

企業(yè)應(yīng)當(dāng)集中管理安全日志，而且應(yīng)當(dāng)有人(理想情況下應(yīng)超過一人)去檢查這些日志，以此作為日常過程的一部分。

一個強(qiáng)健的日志管理或SIEM系統(tǒng)將成為漏洞管理項(xiàng)目的一個關(guān)鍵要素。漏洞掃描器可以幫助你揭示已知的威脅和潛在的攻擊手段，但是日志可幫助你發(fā)現(xiàn)黑客是否訪問過一個交換機(jī)或路由器。你還應(yīng)當(dāng)使用可以幫助你查找關(guān)鍵系統(tǒng)上發(fā)生變化的配置管理工具，要知道這種變化可能帶來新漏洞，或者表明某種攻擊正在發(fā)生。

對于預(yù)算緊張的中小型企業(yè)來說，開源或輕量級的系統(tǒng)日志服務(wù)器至少可幫助企業(yè)構(gòu)建一個安全和事件相關(guān)數(shù)據(jù)的集中化展現(xiàn)。中小型企業(yè)還可以通過使用Windows中的相關(guān)安全和策略功能來解決配置管理問題。你也許達(dá)不到專有產(chǎn)品的控制和報告水平，但至少不花費(fèi)什么代價就可以防止打開新漏洞和安裝惡意軟件。

3、讓每天搜索新漏洞成為一個至關(guān)重要的IT過程

用戶和系統(tǒng)管理員遲早會對桌面和服務(wù)器做出變更，這會帶來新漏洞。多數(shù)系統(tǒng)變更是善意的，但往往會產(chǎn)生負(fù)面的安全影響。例如，管理員啟用一臺關(guān)鍵服務(wù)器的遠(yuǎn)程桌面，就會違反安全策略;用戶為完成某些工作，在家里安裝了遠(yuǎn)程訪問客戶端軟件來訪問公司的應(yīng)用;用戶或應(yīng)用程序有時會禁用Windows的更新服務(wù)或反病毒掃描器在主機(jī)上運(yùn)行;管理員無意地部署了一臺路由器，卻沒有更改默認(rèn)的用戶名和口令，等等。

在系統(tǒng)變更或新的部署帶來新漏洞時，企業(yè)需要檢測這個漏洞，并快速地用一種面向過程的方式來解決漏洞。

適時地搜索和阻止網(wǎng)絡(luò)漏洞要求企業(yè)有完善的工具。最初的投資應(yīng)當(dāng)是一個漏洞掃描器。而云供應(yīng)商也可以掃描企業(yè)的IP地址塊，這對于中小型企業(yè)發(fā)現(xiàn)防御漏洞是一種好方法。此外，Nmap也可用于發(fā)現(xiàn)多臺主機(jī)的開放端口。

你還需要使用智能的網(wǎng)關(guān)防御，用來限制可能帶來安全問題的各種應(yīng)用程序。用戶安裝的把系統(tǒng)暴露在互聯(lián)網(wǎng)上的非法軟件，本身就是一個需要解決的漏洞。如果企業(yè)的端點(diǎn)防御或安全策略沒有阻止用戶安裝未經(jīng)許可的軟件，安全團(tuán)隊(duì)就應(yīng)當(dāng)確保防火墻能夠在外圍過濾應(yīng)用程序。企業(yè)需要向外圍增加一些保護(hù)和檢測功能，應(yīng)當(dāng)在外圍過濾已知的惡意軟件和漏洞。希望依靠端點(diǎn)防御來防止漏洞是不可靠的，因?yàn)槎它c(diǎn)的保護(hù)往往并不完備。

4、交流和通知新發(fā)現(xiàn)的漏洞

幾乎任何企業(yè)的漏洞掃描器都能檢測和確認(rèn)嚴(yán)重的新漏洞，問題在于：你如何對待這些信息。安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)將新發(fā)現(xiàn)的漏洞傳達(dá)給應(yīng)用程序的開發(fā)團(tuán)隊(duì)，并附上具體的補(bǔ)救計劃，這應(yīng)當(dāng)成為頭等大事。企業(yè)還要以一種面向過程的方式來監(jiān)督漏洞信息的傳達(dá)和交流，將其作為企業(yè)網(wǎng)絡(luò)漏洞管理項(xiàng)目的一部分。企業(yè)應(yīng)當(dāng)為把新風(fēng)險傳達(dá)給公司應(yīng)用開發(fā)團(tuán)隊(duì)而構(gòu)建一個協(xié)調(diào)良好的過程,這應(yīng)當(dāng)成為應(yīng)用團(tuán)隊(duì)和網(wǎng)絡(luò)團(tuán)隊(duì)經(jīng)常交流的重要內(nèi)容。

5、嚴(yán)格限制對關(guān)鍵系統(tǒng)的訪問

無疑，可以遠(yuǎn)程訪問的任何服務(wù)器都易遭受攻擊，但在今天，關(guān)于服務(wù)器管理的事實(shí)是，IT不能簡單地禁用遠(yuǎn)程訪問。IT仍可以使用戶更安全地連接到服務(wù)器，而且可以使黑客在使用這種攻擊手段時更困難。

解決此問題的一種方法是，禁用遠(yuǎn)程桌面并依靠IP KVM和帶外管理。安全人員還可以僅允許從可信的安全VLAN遠(yuǎn)程訪問服務(wù)器。對安全VLAN的遠(yuǎn)程訪問應(yīng)當(dāng)要求雙因素保護(hù)，而且不應(yīng)當(dāng)允許使用一般賬戶(包括“administrator”賬戶)的身份驗(yàn)證。此外，還應(yīng)當(dāng)記錄所有的遠(yuǎn)程連接。

如今，許多與安全相關(guān)的最佳實(shí)踐可保護(hù)企業(yè)免受漏洞的威脅。但對企業(yè)來說，更大的困難在于將這些最佳實(shí)踐和工具轉(zhuǎn)變成一套可行規(guī)則。在部署新系統(tǒng)或應(yīng)用時，企業(yè)必須視漏洞問題。企業(yè)需要認(rèn)真對待如何圍繞最佳實(shí)踐逐步地構(gòu)建一個可實(shí)施的IT過程，否則必將遭遇慘敗。